Recolha registos de segurança anormais
Compatível com:
Google secops
SIEM
Este documento explica como carregar registos do Abnormal Security para o Google Security Operations. O analisador processa registos de email nos formatos JSON e Syslog. Primeiro, tenta processar a entrada como JSON e, se não for bem-sucedido, usa padrões Grok para extrair dados do formato Syslog. Os campos extraídos são, em seguida, mapeados para o modelo de dados unificado (UDM), enriquecendo os dados com o contexto de segurança relevante e normalizando o formato para análise posterior.
Antes de começar
Certifique-se de que tem os seguintes pré-requisitos:
- Instância do Google SecOps
- Acesso privilegiado à Abnormal Security
Obtenha o ID de cliente do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Perfil.
- Copie e guarde o ID do cliente da secção Detalhes da organização.
Obtenha o ficheiro de autenticação de carregamento do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Agentes de recolha.
- Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.
Configure a Abnormal Security para enviar registos para o Google SecOps
- Inicie sessão na IU Web da Abnormal Security.
- Clique em Definições > Integrações.
- Encontre o ícone do Google Chronicle e clique em Associar.
- Introduza o seu ID de cliente do Google SecOps.
Introduza o endereço do ponto final da instância do Google SecOps:
- Canadá: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- Europa (várias regiões): https://europe-malachiteingestion-pa.googleapis.com
- Frankfurt: https://europe-west3-malachiteingestion-pa.googleapis.com
- Londres: https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapura: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tóquio: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Região múltipla dos Estados Unidos: https://malachiteingestion-pa.googleapis.com
- Zurique: https://europe-west6-malachiteingestion-pa.googleapis.com
Carregue a chave da conta de serviço Google.
Clique em Guardar > Confirmar.
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento do UDM | Lógica |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | Mapeado diretamente |
| attachmentNames | additional.fields.attachmentNames.value | Concatenados numa string separada por vírgulas |
| attackStrategy | security_result.detection_fields.attackStrategy.value | Mapeado diretamente |
| attackType | security_result.threat_name | Mapeado diretamente |
| attackVector | security_result.detection_fields.attackVector.value | Mapeado diretamente |
| attackedParty | security_result.detection_fields.attackedParty.value | Mapeado diretamente |
| autoRemediated | Não mapeado para o objeto IDM | |
| ccEmails | network.email.cc | Cada endereço de email é extraído e adicionado à matriz |
| fromAddress | network.email.from | O endereço de email é extraído e mapeado diretamente |
| fromName | principal.user.user_display_name | Mapeado diretamente |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | Mapeado diretamente |
| internetMessageId | additional.fields.internetMessageId.value.string_value | Mapeado diretamente |
| isRead | additional.fields.isRead.value.bool_value | Mapeado diretamente |
| postRemediated | additional.fields.postRemediated.value.bool_value | Mapeado diretamente |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | Mapeado diretamente |
| remediationStatus | additional.fields.remediationStatus.value.string_value | Mapeado diretamente |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | Mapeado diretamente |
| replyToEmails | network.email.reply_to | O primeiro endereço de email é extraído e mapeado diretamente |
| returnPath | additional.fields.returnPath.value.string_value | Mapeado diretamente |
| senderDomain | principal.administrative_domain | Mapeado diretamente |
| senderIpAddress | principal.ip, principal.asset.ip | O endereço IP é extraído e mapeado para ambos os campos |
| sentTime | additional.fields.mailSentTime.value.string_value | Mapeado diretamente |
| assunto | network.email.subject | Mapeado diretamente |
| summaryInsights | security_result.summary | Concatenados numa string separada por vírgulas |
| threatId | security_result.threat_id | Mapeado diretamente |
| toAddresses | network.email.to | Cada endereço de email é extraído e adicionado à matriz |
| urlCount | additional.fields.urlCount.value.number_value | Mapeado diretamente |
| URLs | additional.fields.detectedUrls.value | Concatenados numa string separada por vírgulas |
| additional.fields.campaign_id.value.string_value | Mapeado a partir de event_data.abx_body.campaign_id, se estiver presente | |
| additional.fields.trace_id.value.string_value | Mapeado a partir de event_data.abx_metadata.trace_id, se estiver presente | |
| additional.fields.messageReportedTime.value.string_value | Mapeado a partir de event_data.abx_body.message_reported_time, se estiver presente | |
| metadata.event_type | Definido como EMAIL_TRANSACTION se a matriz de mensagens estiver presente. Caso contrário, é determinado com base noutros campos e pode ser USER_LOGIN, STATUS_UPDATE ou GENERIC_EVENT |
|
| metadata.product_name | Definir sempre como ABNORMAL_SECURITY |
|
| metadata.vendor_name | Definir sempre como ABNORMAL_SECURITY |
|
| metadata.product_event_type | Mapeado a partir de event_data.abx_metadata.event_type, se estiver presente | |
| extensions.auth.type | Definido como AUTHTYPE_UNSPECIFIED se event_type for USER_LOGIN |
|
| security_result.category | Definido como MAIL_SPAM e MAIL_PHISHING se o conjunto de mensagens estiver presente; caso contrário, definido como MAIL_PHISHING e/ou MAIL_SPAM com base noutros campos |
|
| security_result.category_details | Definido como ABUSE_MAILBOX se abx_metadata.event_type for ABUSE_MAILBOX; caso contrário, definido como login se abx_body.category for login |
|
| security_result.detection_fields.reported.value | Mapeado a partir de event_data.abx_body.reported, se estiver presente | |
| security_result.detection_fields.judgement.value | Mapeado a partir de event_data.abx_body.judgement, se estiver presente | |
| target.url | Mapeado a partir de event_data.abx_body.details.request_url, se presente | |
| target.user.userid | Mapeado a partir de event_data.abx_body.user.email, se presente | |
| target.user.email_addresses | Mapeado a partir de event_data.abx_body.user.email, se presente |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.